□HanSight瀚思
网络安全行业有三件很明确的事情:黑客始终会变得更高明,攻击频率会加快,他们最终会潜入进来。
如今,大多数成熟的企业和经验丰富的安全专业人员还是采取消极被动的手段,力求最大限度地成功应对威胁。但是安全运营中心(SOC)只能针对它们能轻松识别的攻击作出反应,因而需要分析的数据量与监控一切的IT人员之间完全存在很严重的失衡。
这时候机器学习应运而生。机器学习让安全运营中心更加拥有与网络犯罪分子均等的机会。五年内,机器学习将成为安全检测和防御技术的一股推动力,这种工具从未停止对异常事件的监管,异常事件可能表明来自企业内外的恶意活动。
机器学习正俨然成为一件备受青睐的利器,让运营中心所作的决策能够优化IT运营、安全运营和业务运营。在安全界,它让IT人员能够更有效地检测事件、缩短解决时间、实现响应自动化,并保护企业组织最宝贵的信息。
适应和采用
安全威胁变得更加重大。勒索软件令人不安,有可能让大型跨国企业或防御措施较少的小公司的运营都陷入瘫痪。不断改进的攻击手法让勒索软件成为一种更名正言顺的日常威胁,让沦为受害者的企业组织只好在这两者之间作一选择:要么任由运营系统被冻结或被删除,要么乖乖支付赎金、以求解脱。
此外,有更多的大规模攻击采用僵尸网络,利用无辜的技术(比如路由器和物联网联网设备),向互联网企业发送海量的互联网流量,致使它无力招架。针对互联网的大型、有目的性的分布式拒绝服务(DdoS)攻击可能会增多,并且有可能给必须24×7在线运行的某些行业(比如医疗、政府和公用事业等行业)带来严重破坏。
另外值得关注的是,现在黑客力求访问权以获取数据,不仅仅是为了以此获利,还为了使数据武器化。损坏声誉或披露专有信息的泄露是黑客经常采用的花招,可能会给企业组织带来致命打击,而不仅仅是财务受到影响。这时候机器学习派得上用场。
机器学习是致胜武器
市场的这一演变使得立足于数据的分析驱动型安全策略立绝对必不可少。许多公司在寻求新的策略,实现不断进入的海量数据的价值最大化。这样一来,自动化成为了许多公司开展运营的基本驱动力。公司处理的数据中有很大一部分如今是由机器生成的,比如服务器、传感器、防火墙及其他设备。如今可供使用的一些最先进的机器学习算法旨在更合理地利用这些数据。
机器学习让企业组织能够更准确地分析眼前发生的攻击,而不是寻找以往的趋势。机器学习不仅被用来识别可能表明攻击的模式,还用来处理诸多任务,比如实时跟踪公司企业不同方面的多个参数。虽然迄今为止安全界面临的挑战可能被认为是从草堆里找到那根针,而如今的SOC肩负的任务是,从一大垛草堆中找到那根形状奇特的针。
传统的分析系统似乎表现不俗,但是它们并不是为分析机器数据并从中学习而开发的。这一项工作落在员工的身上;在大多数企业组织,根本就没有足够的人手来处理这项工作。机器学习可以使搜寻行为或活动中的异常模式实现自动化,并提醒安全团队注意优先级最高的问题。这让企业组织得以自动检测并响应已知威胁和未知威胁。
采用机器学习面临的一个异常棘手的挑战就是内部威胁。比如说,戴尔公司最近的一项调查发现,数量多得惊人的员工(72%)表示,他们愿意共享机密信息。恶意内部威胁之所以如此顽固,就是由于它们因企业而异,静态的关联搜索技术太难对付得了它们。机器学习能够更容易识别和发现内部威胁,增强安全分析员处理这种重要问题的能力。
机器学习的吸引力
未来的SOC似乎有可能将机器学习作为核心的安全工具,将这项技术应用于威胁检测、风险分析、预防和事件响应。机器学习已经与关键的安全技术融为一体,比如安全信息及事件管理(SIEM)和用户行为分析(UBA)。这种融合将有助于打造一种更动态、更灵活的安全机制,专注于借助机器学习,提供长期的、分析驱动的威胁搜索机制。说到运用人类智慧分析处理机器数据,安全分析员仍然必不可少,然而机器学习和自动化带来的好处却让安全分析员能够制定一套更强大、积极主动的安全策略。
力求将机器学习应用于安全工作的公司应认真挑选厂商,确保自己获得物有所值的解决方案。这个市场目前一片乱象;说到使用机器学习这个术语,许多厂商不是无知,就是缺乏诚意。比如说,推销时号称机器学习的解决方案可能只是一款辅以病毒特征的基本检测工具而已。
高级的机器学习解决方案与基本的机器学习解决方案之间也存在重大的区别。先进的机器学习应该具有这类功能:开展针对性调查、发出智能警报和执行预测性行动。
想成功地实施机器学习来加强安全,公司必须先要有一个很适合从机器数据来提供业务洞察力的分析平台。
随着更多的公司利用针对这家公司高度定制的机器学习,安全专业人员将会因此而提升安全本领。